MAINTENANCE DES INFRASTRUCTURES … DES RESEAUX DE COMMUNICATION Les réseaux de communications...

MAINTENANCE DES

INFRASTRUCTURES

RESEAUX ISET SILIANA

Chaabani Nizar

[email protected]

Mai

nte

nan

ce I

NF

RA

Rés

eaux

Chaabani Nizar Maintenance INFRA Réseaux 1

http://www.academiepro.com/enseignants-104-Chaabani.Nizar.html

mailto:[email protected]






Grands principes

Qu’est-ce qu’un réseau ?

C’est un ensemble de matériels et de logiciels permettant à des équipements de communiquer entre eux.

L’objectif d’un réseau est le partage des ressources matérielles (disques durs, imprimantes) et des ressources logicielles (fichiers, applications)

Les réseaux regroupent un ensemble hétérogène d’architectures, du filaire au sans-fil, du LAN au WAN C

hap

itre

2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


Définir les principaux besoins

Ch

apit

re 1

: In

tro

duct

ion

à la

Mai

nte

nan

ce I

NF

RA

Rés

eaux

Chaabani Nizar Maintenance INFRA Réseaux

Infrastructure et architecture

évolutives et robustes

Généralisation de l’accès à

Internet

Généralisation de la

messagerie

Support de la VoIP et de la

Vidéo

Support de la mobilité

3

Topologies de réseaux

Les principales topologies de réseaux existantes :

en étoile

en bus

en anneau

maillé

Ces éléments de base sont combinés pour former des réseaux complexes.

Ch

apit

re 1

: In

tro

duct

ion

à la

Mai

nte

nan

ce I

NF

RA

Rés

eaux


4

CLASSIFICATION DES RESEAUX DE COMMUNICATION

Les réseaux de communications peuvent être classés en fonction du type d’informations transportées et de la nature des entités impliquées. On distingue ainsi trois principales catégories de réseaux :

1. Les réseaux de télécommunications :

Ce sont les réseaux les plus anciens. Ils ont pour objectif l’acheminement de

communications vocales entre individus. Exemples : Réseau Téléphonique Commuté Public, Numéris, Réseaux mobiles GSM/DCS

2. Les réseaux de télédiffusion :

Plus récents, ils servent à la diffusion de canaux de télévisions entre les studios TV et les particuliers. On retrouve les réseaux de distribution terrestre des câblo-opérateurs et les réseaux satellites (TDF, EutelSat, Noos, Numericable).

3. Les réseaux Téléinformatiques :

Ils servent à l’échange de données numériques et le partage de ressources (Imprimantes, disques, …) entre systèmes et applications informatiques tels que les traitements de textes, ou les navigateurs Web.

Ch

apit

re 1

: In

tro

duct

ion

à la

Mai

nte

nan

ce I

NF

RA

Rés

eaux


5

Commutation

Manière de faire passer l’information de l’émetteur

au récepteur

Commutation de circuits

Commutation de paquets

Commutation de cellules

Ch

apit

re 1

: In

tro

duct

ion

à la

Mai

nte

nan

ce I

NF

RA

Rés

eaux


6

Commutation de circuit

Utilisée sur le réseau téléphonique, RNIS, GSM

Création d’un circuit physique reliant les deux extrémités

lors de l’établissement de la connexion

Elle est adaptée au transport de la voix

Contrainte de temps de transmission (téléphonie :

isochronie et écho)

Inconvénient : le circuit est occupé pendant la

communication, qu’il soit utilisé ou non

Ch

apit

re 1

: In

tro

duct

ion

à la

Mai

nte

nan

ce I

NF

RA

Rés

eaux


7

La commutation de paquets

La commutation de paquets, ou commutation par paquets, aussi appelée commutation d'étiquettes, est une technique commutation utilisée dans le transfert de données dans les réseaux informatiques

Cette technique de commutation est fondée sur le découpage des données afin d'en accélérer le transfert. Chaque paquet est composé d'un en-tête contenant des informations sur son contenu et sa destination, qui permet au commutateur d'aiguiller le paquet sur le réseau vers son point final.

Ch

apit

re 1

: In

tro

duct

ion

à la

Mai

nte

nan

ce I

NF

RA

Rés

eaux


8

Commutation de cellules

Utilisée par ATM (Asynchronous Transfer Mode)

Cellule de taille fixe : 53 octets (5 d’en-tête + 48 de données)

Temps de commutation très faible par rapport au temps de

propagation du signal

Permet d’introduire des notions de qualité de service

Utilisée principalement sur les liens d’interconnexion ou

dans des applications multimédia

Ch

apit

re 1

: In

tro

duct

ion

à la

Mai

nte

nan

ce I

NF

RA

Rés

eaux


9

Mode avec/sans connexion

Mode connecté : toute transmission doit être précédée

d’une demande de connexion réussie

permet de contrôler proprement la transmission : authentification

des intervenants, contrôle de flux

trois phases : établissement de la connexion, transfert des données,

coupure de la connexion

Les ressources mobilisées ne sont pas forcément utilisées

Mode non connecté : pas de négociation entre les intervenants (ni

contrôle de flux ou d’erreur), bon pour des envois de messages courts;

similaire à l’envoi d’une lettre à la Poste

Ch

apit

re 1

: In

tro

duct

ion

à la

Mai

nte

nan

ce I

NF

RA

Rés

eaux


10

Mode d’envoi des informations

unicast : point à point ; une source, une destination.

C’est le cas général

multicast : multidiffusion ; une source, des destinations multiples. Permet

d’atteindre plusieurs correspondants à la fois, utilisé dans certaines

applications (Mbone, routage)

broadcast : multidiffusion ; une source, toutes les cibles possibles (en général,

toutes les machines d’un réseau local)

Ch

apit

re 1

: In

tro

duct

ion

à la

Mai

nte

nan

ce I

NF

RA

Rés

eaux


11

Architectures

L’architecture client/serveur

Architecture Poste à Poste (peer2peer)

Informatique Centralisée

Informatique Répartie

Ch

apit

re 1

: In

tro

duct

ion

à la

Mai

nte

nan

ce I

NF

RA

Rés

eaux


12

L’architecture Client/Serveur

Les constituants :

Un client

Un Serveur

Un Réseau

Les caractéristiques :

Centralisation et partage des ressources (Accès Sécurisé et Gestion

centralisée)

Services (Fournisseurs et Consommateurs)

Localisation(Transparence)

Souplesse et adaptabilité (Systèmes Hétérogènes, Evolutivité des

différents éléments)

Ch

apit

re 1

: In

tro

duct

ion

à la

Mai

nte

nan

ce I

NF

RA

Rés

eaux


13

Exemples SD C

hap

itre

1: In

tro

duct

ion

à la

Mai

nte

nan

ce I

NF

RA

Rés

eaux


Client-serveur 2 niveaux (2-tier)

Le poste de travail héberge l ’ensemble de la gestion

d’interface homme-machine et le traitement,

Le serveur est un serveur de base de données

Architecture dénommée « client obèse »

IHM T D

14

Client-serveur 3 niveaux (3-tier)

Le poste de travail héberge la gestion d'interface homme-machine

et une partie des traitements,

Le serveur d ’applications gère l'autre partie des traitements

Le serveur de données gère les accès aux données

Architecture dénommée "traitements coopératifs«

Ch

apit

re 1

: In

tro

duct

ion

à la

Mai

nte

nan

ce I

NF

RA

Rés

eaux


IHM T D T

15

Architecture Poste à Poste (peer2peer)

Chaque ordinateur dans un tel réseau est un peu

serveur et un peu client. Cela signifie que chacun des ordinateurs du réseau est libre de partager ses ressources

Ch

apit

re 1

: In

tro

duct

ion

à la

Mai

nte

nan

ce I

NF

RA

Rés

eaux


.

Dans cet exemple, le

PC2 peut partager son

imprimante avec les autres

stations.

Le PC3 peut aussi

fournir, aux autres stations, des

fichiers ou une connexion Internet.

16

l’informatique distribuée

• L’informatique répartie : état de fait de plusieurs

applications, et une mutation…

– Besoin propre des applications

• Intégration : applications séparées, ressources de calcul,

ressources de gestion de données, etc

• Nouvelles applications: informatique omniprésente

– Possibilités techniques

• Interconnexion généralisée : convergence informatique-

télécom

• Performance et coût des machines et des réseaux

Ch

apit

re 1

: In

tro

duct

ion

à la

Mai

nte

nan

ce I

NF

RA

Rés

eaux


17

Mode d’envoi des informations C

hap

itre

1: In

tro

duct

ion

à la

Mai

nte

nan

ce I

NF

RA

Rés

eaux


Applications distribuées

évolution

technologique • banalisation et capillarité

des réseaux de télécommunications

performance des voies de

télécommunication

(débit et fiabilité)

rapport coût/performance des

Stations

convergence informatique et

téléphonie

évolution

des besoins structure des entreprises et des

organisations : communication

et partage (ex. Intranet)

accès universel à l’information (ex.

Web)

informatique distribuée “grand

public”

(ex. vidéo interactive)

18

Exemples SD

• WWW

• Contrôle du trafic aérien

• Système de courtage

• Banques

• Super calcul distribué

• Système de fichier distribué

• DNS

• Systèmes Pair-à-pair (P2P)

Ch

apit

re 1

: In

tro

duct

ion

à la

Mai

nte

nan

ce I

NF

RA

Rés

eaux


19

Systèmes centralisés C

hap

itre

1: In

tro

duct

ion

à la

Mai

nte

nan

ce I

NF

RA

Rés

eaux

haabani Nizar Maintenance INFRA Réseaux

Systèmes centralisés

Terminaux caractère IBM MVS, Unix émulation de terminal

20

Exemples SD

• WWW

• Contrôle du trafic aérien

• Système de courtage

• Banques

• Super calcul distribué

• Système de fichier distribué

• DNS

• Systèmes Pair-à-pair (P2P)

Ch

apit

re 1

: In

tro

duct

ion

à la

Mai

nte

nan

ce I

NF

RA

Rés

eaux


21

Architecture centralisée

Composants localisés sur un site unique

Centralisation des données, des traitements et de la

présentation

Historiquement sur systèmes propriétaires

Terminaux légers

Coûts ?

Ch

apit

re 1

: In

tro

duct

ion

à la

Mai

nte

nan

ce I

NF

RA

Rés

eaux

Chaabani Nizar Maintenance INFRA Réseaux 8 22

Du modèle centralisé au client-serveur

C

hap

itre

1: In

tro

duct

ion

à la

Mai

nte

nan

ce I

NF

RA

Rés

eaux


Modèle centralisé

Mainframe

données

•développement des postes de travail banalisés à coût bas et des réseaux •entreprise étendue, intégration de sites distants •Besoin en applications interactives

• distribution de la charge • matériel banalisé et standard • outils logiciels de coût réduit et de grande diffusion • ouverture • Mais assemblage de progiciels à la charge de

l ’intégrateur

Modèle de l’informatique répartie

23

Le « modèle » réparti

Ch

apit

re 1

: In

tro

duct

ion

à la

Mai

nte

nan

ce I

NF

RA

Rés

eaux


Familles technologiques de base :

Systèmes de Gestion de Bases de Données Moniteurs transactionnels Systèmes de Groupware Objets distribués Serveurs d ’application Services Web

Logiciels clients

Logiciels serveurs

poste client poste client

machine serveur machine serveur

• distribution de la charge

• matériel banalisé et standard

• outils logiciels de coût réduit et de grande diffusion

• Ouverture

• Mais :

• administration et déploiement

• construction de systèmes par intégration de progiciels

24

Options d ’architecture

Ch

apit

re 1

: In

tro

duct

ion

à la

Mai

nte

nan

ce I

NF

RA

Rés

eaux


Interface interactive

Application

Gestion de Données

Ex : revamping

Interface utilisateur

Application

Gestion de données

dialogue appli - BD


Application

Gestion de données

Application distribuée


Application

Application

Gestion de données

Gestion de données

BD répartie


Application

Gestion de données

mainframe ou Station Unix + terminal

Gestion de données

Présentation

Application

terminal

Appli distribuée et BD répartie

Gest. données


Appli

Gestion de données

Appli Gest. données

25

Communications client-serveur

Ch

apit

re 1

: In

tro

duct

ion

à la

Mai

nte

nan

ce I

NF

RA

Rés

eaux


Lecture/écriture de fichiers

Modèle Serveur de fichiers

Application

Application Serveur de fichiers

•Forme d ’échange de très bas niveau •partage de fichiers sur un réseau (ex : NFS) •bases de documents, d ’images

•Traitements de sélection sur le serveur •utilisation du produit commercial d ’un éditeur

Appels SQL

Modèle Serveur de bases de données relationnelles

Application

Application Serveur de BD

Résultats

26


27







I. Introduction

II. Les technologies web

1) Architecture d’une application WEB.

2) le protocole http.

3) Mythes et réalités de sécurité web.

4) L’application web la porte la plus facile pour les hackers.

III. Les technologies web

1) Terminologies essentielles.

2) Les attaques en injection (SQL Injection /command Injection/OS injection/Xpath injection/….)

3) Les attaques SQL Injection

VI. Les Bonnes pratiques du développement sécurisé et d’administration de plate forme d’hébergement.

1) Bonnes pratiques de développement sécurisé.

2) Bonnes pour l’administration des sites web.

3) Bonnes pratiques pour la sécurité des plateformes web.

4) Travaux pratiques : correction des vulnérabilités.


28

Application utilisant le protocole HTTP (80) ou HTTPS (443) pour être pilotée par un utilisateur

L’utilisateur a besoin d’un simple navigateur Web ou d’une application propriétaire utilisant le protocole HTTP/HTTPS pour travailler sur l’applicatif


29

Architecture d’une application Web


HTTP / HTTPS

Port 80 / 443

Client Web Firewall

Classique

Serveur Web

Apache

IIS

Iplanet

Zeus

Etc.

App. Web

App. Web

XML, Soap, HTML,

etc.

XML

DB

DB

Application

Server

CGI,

PHP

Etc.

RMI

IIOP

XML

Soap

etc.

SQL

XML

JDBC

etc.

30

Risques les plus connus dans les applications Web :

•SQL Injection,

•Cross Site Scripting,

•La manipulation de variables,

•L’exploitation des mauvaises configurations ,

•L’exploitation de certaines sections comme «J’ai oublié mon mot de passe»,

•La mauvaise interprétation d’URL.

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


31

Introduction: Qui sont les hackers ?

hacktivisme est un acte de promotion d’une agenda par le piratage qui se manifeste spécialement par le effacement ou la désactivation des sites web.

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


32

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


Les technologies web

33







Le protocole HTTP C

hap

itre

2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


34

Les Méthodes HTTP GET

Renvoie le contenu du document indiqué, peut placer des paramètres dans l’entête de la requête

POST

Demande un document comme GET, peut traiter le document comme s’il était un script et lui envoi des données, peut placer des paramètres

PUT

Inscrit des données dans le contenu du document

TRACE

Cette méthode demande au serveur de retourner ce qu'il a reçu, dans le but de tester et effectuer un diagnostic sur la connexion.

DELETE

Efface le document indiqué

HEAD

Retourne l’information de l’entête du document (Taille de fichier, date de modification, version du serveur)

OPTIONS

Demandes des informations sur les options disponibles sur communication

CONNECT

Demande une connexion au serveur relais pour établir une communication via un tunnel (exemple SSL)

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


35

Les réponses HTTP

Code de réponse donné par le serveur au client:

-100-199 Informationnel

100 : Continue (le client peut envoyer la suite de la requête), ...

-200-299 Succès de la requête client

200: OK, 201: Created, 204 : No Content, ...

-300-399 Redirection de la Requête client

301: Redirection, 302: Found, 304: Not Modified, 305 : Use Proxy, ...

-400-499 Requête client incomplète

400: Bad Request, 401: Unauthorized, 403: Forbidden, 404: Not Found

-500-599 Erreur Serveur

500: Server Error, 501: Not Implemented,

502: Bad Gateway, 503: Out Of Resources (Service Unavailable)

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


36

Les attaques web C

hap

itre

2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


37

L’injection

L’injection

•Utilisent les chaines et les interpretent comme des commandes

•SQL, OS Shell, LDAP, XPath, etc…

Les Interpréteurs

•Enormément d’applications y sont sensibles

•Même s’il est très simple de s’en affranchir….

L’injection SQL est toujours commune

•Souvent très sévère. Le plupart du temps l’ensemble des données de la base sont lisibles ou modifiables.

•Cela peut même aller jusqu’au schéma de la base, les comptes ou un accès OS….

Impact

•Souvent très sévère. Le plupart du temps l’ensemble des données de la base sont lisibles ou modifiables.

•Cela peut même aller jusqu’au schéma de la base, les comptes ou un accès OS….

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


38

SQL Injection

technique qui permet aux attaquants d’injecter des requêtes SQL directement sur la base de données qui se trouve derrière un serveur Web, en manipulant l’entrée « INPUT » à une application.

Exemple : sur une page d’authentification « login.asp », l’utilisateur est amené à saisir un Nom d’utilisateur « User1 » et un mot de passe « pass2012 », cette opération se traduit sous forme d’un requête SQL :

SELECT * FROM Utilisateur WHERE nom= ‘User1' and mot_passe=‘pass2012’

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


39

SQL Injection

Dans le cas de SQL Server, « -- » est utilisé pour mettre un commentaire jusqu’à la fin de la ligne, la requête serait alors

SELECT * FROM Utilisateur WHERE username= or 1=1

Cette requête recherche dans la base de données les champs dont le nom d’utilisateur est vide en réponse à la condition. La requête va retourner tous les champs de la table utilisateur et l’attaquant serait authentifié.

L’attaquant a réussi ainsi à s’authentifier sans avoir pour autant utilisé de nom d’utilisateur ni de mot de passe.

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


40

SQL Injection C

hap

itre

2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


41

SQL Injection C

hap

itre

2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


42

SQL INJECTION – Comment se protéger

Recommandations

1.Se passer des interpréteurs,

2.Utiliser une interface permettant de préparer les requêtes (ex, prepared statements, or les procédures stockées),

3.Encoder toutes les données fournies par l’utilisateur avant de les passer à l’interpréteur

Toujours effectuer une validation de type “white liste” sur les données utilisateurs.

Minimiser les privilèges dans les bases pour limiter l’impact de la faille.

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


43

Comment éviter SQL Injection

Les failles d'injection SQL sont introduits au niveau de code source au cours de développement de l’application:

les développeurs de logiciels de créer des requêtes de bases de données dynamiques qui incluent l'entrée fournie par l'utilisateur.

Pour éviter les attaques par injection SQL est simple. Les développeurs doivent soit:

a) cesser d'écrire des requêtes dynamiques, et / ou

b) empêcher l'entrée fournie par l'utilisateur qui contient des verbes SQL

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


44

Comment éviter SQL Injection

Les fondamentaux défenses:

Règle 1:Utilisation Prepared

Statements(requêtes paramétrées)

Règle 2:Utilisation de procédures stockées.

Règle 3: Valider toutes les entrées utilisateur

Fourni de coté serveur

Les défenses additionnel:

Exécuter avec le moindre des privilèges.

White List Input Validation.

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


45

Protection contre les injections C

hap

itre

2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


46


hap

itre

2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


47


hap

itre

2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


48


hap

itre

2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


49


hap

itre

2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


50


hap

itre

2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


51

Protection contre le vol de session C

hap

itre

2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


52


hap

itre

2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


53


hap

itre

2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


54

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


Bonnes pratiques pour l’administration des sites web

55







Côté « application »

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


56


1)Sécurisation de la plateforme d’hébergement:

Mise à jour et hardening du serveur.

Détection d’intrusion réseau.

Détection d’intrusion au niveau de l’hôte (HIDS).

Détection antivirale

Filtrage applicatif

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


57


2)Suivi et audit des logs enregistrés au niveau de la plateforme de connexion :

log d’administration,

log d’accès public,

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


58


3.Sauvegarde des données sensible :

Applicatif,

base de données,

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


59


4)Validation de l’application:

Après insertion ou ajout de nouveaux services, …par une tierce entité .

Audit de l’application avant sa mise en ligne :

au niveau de cette phase toute la documentation relative à l’application doit être demandé (Conception, Structure, architecture)

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


60

5)Audit régulier de la sécurité :

de l’application,

du serveur web,

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


61

7) Mettre en place un plan de continuité de service:

via la virtualisation.

Ou autre solution.

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


62

SECURISATION DU SYSTEME D’EXPLOITATION DU SERVEUR WEB

Patch et mise à niveau du système d'exploitation:

Créer, documenter et mettre en place une procédure de patch

Tester les patchs sur un serveur de test avant de les appliquer sur le serveur en

exploitation

Identifier et installer tous les correctifs et mises à niveau du système d'exploitation

Identifier et installer tous les correctifs et mises à niveau des applications et des

services inclus avec le système d'exploitation

Installer les correctifs et les mises à jour à partir du site web officiel de l’OS utilisé

Si des correctifs ne sont pas encore disponibles, désactiver les services qui sont en

relation avec la vulnérabilité identifiée si cela est possible

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


63

SECURISATION DU SYSTEME D’EXPLOITATION DU SERVEUR WEB

Supprimer ou désactiver les services et applications inutiles

Désactiver ou supprimer tous les services et applications inutiles

Configurer l'authentification des utilisateurs du système d'exploitation

Supprimer ou désactiver les comptes et les groupes par défaut ou inutiles

Vérifier le choix des mots de passe (Longueur, Complexité, Réutilisation, …)

Prévenir le devine de mot de passe (par exemple, refuser la connexion après un nombre défini de tentatives non réussis)

Installer et configurer d'autres mécanismes de sécurité pour renforcer l'authentification

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


64

SECURISATION DU SERVEUR WEB

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


65








Installation sécurisée du serveur web Installer le logiciel serveur web sur un serveur dédié

Appliquer les correctifs et les mises à jour pour neutraliser les vulnérabilités connues

Créer un disque physique dédié ou une partition logique (séparé de l'OS et du serveur web) pour le contenu Web

Supprimer ou désactiver tous les services inutiles installés avec le serveur web (par exemple, Gopher, FTP, administration à distance)

Supprimer ou désactiver tous les comptes de connexion par défaut ou inutiles créées lors de l'installation du serveur web

Enlever toute la documentation du fabricant du serveur web

Supprimer tous les fichiers et répertoires inutiles à partir du serveur (les fichiers de test, les scripts, codes exécutables, etc.)

Appliquer un modèle de sécurité approprié ou suivre un guide de hardening du serveur

Reconfigurer la bannière http afin de ne pas signaler le type du serveur web et la version de l’OS

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


66


Configuration des contrôles d'accès:

Configurer le processus du serveur web à exécuter en tant qu'un simple

utilisateur avec une limite des privilèges

Configurer le serveur web en lecture seule sur les répertoires de l’application web

Configurer le serveur web afin que seuls les processus autorisés pour

l’administration de serveurs web puissent écrire des fichiers

Configurer le système d'exploitation pour que le serveur web puisse écrire des

fichiers journaux mais pas les lire

Si l’écriture est autorisée sur le serveur web, limiter la taille des fichiers à

uploader sur l’espace disque qui est dédié à cet effet. Les fichiers ajoutés doivent

être placés sur une partition séparée

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


67


S'assurer que les fichiers journaux sont stockés dans un emplacement qui est

dimensionné de façon appropriée; les fichiers journaux doivent être placés sur une

partition séparée

Configurer le nombre maximal de processus de serveur Web et / ou des

connexions réseau que le serveur Web doit permettre

S’assurer que les utilisateurs et les administrateurs sont en mesure de changer

leurs mots de passe périodiquement

Désactiver les utilisateurs après une certaine période d'inactivité

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


68

SECURISATION DU BD

Mettre à jour le SGBD avec les derniers correctifs stables

Utiliser des algorithmes de hachage/cryptage pour stocker les données critiques

Sécuriser le serveur de base de données derrière un firewall et utiliser un IDS pour détecter toute tentative d’intrusion

Le processus serveur base de données devrait fonctionner comme étant un utilisateur avec des privilèges minimum et jamais en tant qu'administrateur

Mettre en place une politique stricte de contrôle d'accès physique et logique

Activer les logs sur les tables jugés critiques

Certains serveurs de base de données comprennent des serveurs d’applications par défaut. Il est recommandé qu'ils soient supprimés s’ils sont inutiles

Le serveur de base de données ne devrait pas avoir une adresse IP accessible au public

L'accès à la base de données ne devrait être autorisé qu'à partir du serveur web sur un port bien particulier

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


69

SECURISATION DU communication

configurer l'authentification basée sur l’adresse IP comme une seconde ligne de défense

Pour les ressources web qui nécessitent une protection minimale, mais pour lesquelles il n'existe pas de définition claire du public, configurer une authentification basique ou digest (meilleure)

Pour les ressources web qui nécessitent une protection contre les robots collecteurs ou les robots de bombardement, configurer l'authentification de base ou digest (mieux) ou appliquer d’autres techniques (tels que captcha, nofollow, etc.)

Pour les ressources web qui nécessitent une protection maximale, configurer SSL/TLS

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


70


Configurer SSL/TLS

S’assurer que le SSL / TLS mis en oeuvre est entièrement mis à jour.

Utiliser un certificat émis par une tierce partie pour l'authentification du serveur

Pour les configurations qui nécessitent un niveau moyen d’authentification du

client, configurer le serveur pour exiger un nom d'utilisateur et un mot de passe via

SSL / TLS

Pour les configurations qui nécessitent un niveau élevé d'authentification de clients,

configurer le serveur à exiger des certificats client via SSL / TLS

S'assurer que les algorithmes de chiffrement faibles sont désactivés

Configurer un contrôleur d'intégrité pour surveiller le certificat de serveur web

Si seulement SSL / TLS doit être utilisé dans le serveur web, s'assurer que l'accès

via n'importe quel port TCP autre que le 443 est désactivé

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


71


Protéger contre les attaques de brute force

Utiliser l'authentification forte, si possible (one time password, certificat numérique, etc.)

Verrouiller un compte après un nombre déterminé de tentatives de connexion a échoué

Appliquer une politique de mot de passe

Mettre une liste noire des adresses IP connus de tenter des attaques en brute force

Utiliser un logiciel de contrôle du journal (log) pour détecter les attaques en brute force

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


72

INFRASTRUCTURE RÉSEAU SÉCURISÉE

Identifier l'emplacement dans le réseau:

Serveur web est situé dans une DMZ

Évaluer la configuration du firewall:

Serveur web est protégé par un pare-feu de couche d'application

Firewall contrôle tout le trafic entre l'Internet et le serveur web

Pare-feu bloque tout le trafic entrant vers le serveur web, sauf les ports TCP 80 (HTTP) et / ou 443 (HTTPS)

Pare-feu bloque les adresses IP que l’IDS/IPS reporte en tant que des adresses d’attaque

Pare-feu réseau notifie l'administrateur du serveur web des activités suspectes par un moyen approprié

Pare-feu offre le filtrage de contenu (pare-feu de couche d'application)

Pare-feu est configuré pour se protéger contre les attaques DoS

Firewall détecte les requêtes mal formés ou les URL d’attaque connus

Firewall journalise (logue) les événements critiques

Le firewall est mis à jour avec les derniers correctifs stables

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


73


Évaluer les systèmes de détection et de prévention d'intrusion

IDS/IPS est configuré pour surveiller le trafic réseau depuis et vers le serveur web

IDS/IPS est configuré pour surveiller les changements apportés aux fichiers importants sur le serveur web (IDS/IPS hôte ou contrôleur d'intégrité de fichiers)

IDS/IPS bloque (en conjonction avec le firewall) les adresses IP ou les sous-réseaux qui attaquent le réseau de l’entreprise

IDS/IPS avise l’administrateur du serveur web des attaques soupçonnées par des moyens appropriés

IDS/IPS est configuré de manière à maximiser la détection avec un niveau acceptable de faux positifs

IDS/IPS est configuré pour enregistrer les événements du journal

IDS/IPS est mis à jour fréquemment avec de nouvelles signatures d'attaque (par exemple, sur une base quotidienne)

IDS/IPS hôte est configuré pour surveiller les ressources système disponibles au niveau du serveur web

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


74


Évaluer les commutateurs réseau

Les commutateurs sont utilisés pour protéger contre les écoutes réseau

Les commutateurs sont configurés en mode haute sécurité afin de vaincre les attaques ARP poisoning

Les commutateurs sont configurés pour envoyer tout le trafic sur le segment de réseau vers l’IDS/IPS réseau.

Évaluer les répartiteurs de charge (Load balancers)

Les répartiteurs de charge sont utilisés pour augmenter la disponibilité du serveur web

Les équilibreurs de charge sont complétés par les caches web

Evaluer le reverse proxy

Le reverse proxy est utilisé comme une passerelle de sécurité pour accroître la disponibilité du serveur web

Le reverse proxy est complété par une accélération de chiffrement, une authentification des utilisateurs et des fonctionnalités de filtrage de contenu

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


75

INFRASTRUCTURE RÉSEAU SÉCURISÉE C

hap

itre

2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


76


Hardning du système d’exploitation.(voir le guide dans la site officielle)

Hardning du serveur web(exemple voir guide hardening apache).

Hardning du serveur base des données(exemple voir guide hardening mysql).

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


77


Un web firewall applicatif (exemple voir guide de mod security).

Database firewall (exemple green sql).

urlScan:est un outil de sécurité Microsoft qui limite les types de requêtes HTTP traitées par Internet Information Services (IIS).

IIS lockdown :est un outil qui permet d’assurer un plus haut niveau de sécurité en désactivant les options inutilisées d’IIS (Internet Information Services). Et contient l’outil urlscan

lien : http://www.laboratoire-microsoft.org/d/?id=11151

Ch

apit

re2 :

Séc

uri

té d

es A

pp

licat

ion

s W

EB


78

Infrastructure d'un réseau GSM

Ch

apit

re3 :

Infr

as

tru

ctu

re d

'un

ré

se

au

GS

M,

GP

RS


79







Présentation de l'infrastructure d'un réseau

Le réseau GSM a pour premier rôle de permettre des communications

entre abonnes mobiles (GSM) et abonnes du réseau téléphonique commute (RTC – réseau fixe).

Le réseau GSM s'interface avec le réseau RTC et comprend des commutateurs.

Le réseau GSM se distingue par un accès spécifique : la liaison radio.

Le réseau GSM est compose de trois sous ensembles :

· Le sous système radio – BSS Base Station Sub-system assure et gère les

transmissions radios

· Le sous système d'acheminement – NSS Network Sub System (on parle aussi de SMSS Switching and Management Sub-System pour parler du sous système

d'acheminement).

Le NSS comprend l'ensemble des fonctions nécessaires pour

appels et gestion de la mobilité.

•Le sous-système d'exploitation et de maintenance – OSS Operation Sub-System) qui permet a l'opérateur d'exploiter son réseau. C

hap

itre

3 :

Infr

as

tru

ctu

re d

'un

ré

se

au

GS

M,

GP

RS


80

La mise en place d'un réseau GSM (en mode circuit) va permettre à un opérateur de proposer des services de type « Voix » à ses clients en donnant accès à la mobilité tout en conservant un interfaçage avec le réseau fixe RTC existant.

Ch

apit

re3 :

Infr

as

tru

ctu

re d

'un

ré

se

au

GS

M,

GP

RS


81

Ch

apit

re3 :

Infr

as

tru

ctu

re d

'un

ré

se

au

GS

M,

GP

RS


82

Infrastructure d'un réseau GSM

Ch

apit

re3 :

Infr

as

tru

ctu

re d

'un

ré

se

au

GS

M,

GP

RS


83

Les équipements d'un réseau GSM

- BTS : Base Transceiver Station (Station de base) assure la réception les appels

entrant et sortant des équipements mobiles.

- BSC : Base Station Controller (Contrôleur station de base) assure le contrôle des

stations de bases.

- MSC : Mobile Switching Centre (Centre de commutation de mobile) assure la

commutation dans le réseau

- HLR : Home Location Register (Enregistrement de localisation normale). Base de données assurant le stockage des informations sur l'identité et la localisation des abonnées.

- AUC : Authentification Center (centre d’authentification). Assure

l’authentification des terminaux du réseau

- VLR Visitor Location Register (Enregistrement de localisation pour visiteur). Base de données assurant le stockage des informations sur l'identité et la localisation des visiteurs du réseau.

Ch

apit

re3 :

Infr

as

tru

ctu

re d

'un

ré

se

au

GS

M,

GP

RS


84

Les équipements d'un réseau GSM

Ch

apit

re3 :

Infr

as

tru

ctu

re d

'un

ré

se

au

GS

M,

GP

RS


85

Architecture matérielle du sous système radio BSS

Le BSS comprend les BTS qui sont des émetteurs-récepteurs ayant un minimum

d'intelligence et les BSC qui contrôlent un ensemble de BTS et permettent une

première concentration des circuits.

Ch

apit

re3 :

Infr

as

tru

ctu

re d

'un

ré

se

au

GS

M,

GP

RS


86

Fonctions de la BTS

La BTS est un ensemble d'émetteurs-récepteurs appelés TRX. Elle a pour fonction la gestion :

- des transmissions radios (modulation, démodulation, égalisation, codage et correcteur d'erreurs).

- de la couche physique des réseaux.

-de la couche liaison de données pour l'échange de signalisation entre les mobiles et l'infrastructure réseau de l'opérateur.

- de la liaison de données avec le BSC

L'exploitation des données recueillies par la BTS est réalisée par le BSC.

Ch

apit

re3 :

Infr

as

tru

ctu

re d

'un

ré

se

au

GS

M,

GP

RS


87

Architecture matérielle du sous-système fixe NSS

Le NSS comprend des bases de données et des commutateurs

Fonctions du HLR

Le HLR est une base de données de localisation et de caractéristiques des abonnes.

Un réseau peut posséder plusieurs HLR selon des critères de capacité de machines, de fiabilité et d'exploitation. Le HLR est I 'enregistreur de localisation nominale par opposition au VLR qui est I 'enregistreur de localisation des visiteurs.

Ch

apit

re3 :

Infr

as

tru

ctu

re d

'un

ré

se

au

GS

M,

GP

RS


88

Ch

apit

re3 :

Infr

as

tru

ctu

re d

'un

ré

se

au

GS

M,

GP

RS


89

le HLR Une base de données qui conserve des données statiques sur l'abonne et qui administre des données d y n a m i q u e s s u r l e comportement de l'abonné. Les informations sont ensuite exploitées par l'OMC. L'AUC est une base de données associée au HLR.

La carte SIM qui transmet deux informations importantes. L'IMSI (International Mobile Subscriber Identity) qui est gère par le HLR (l'IMSI donne des informations sur le réseau d'origine et le pays entre autre) et le KI (clé de cryptage) qui est géré par la base de données AUC

Prenons un exemple.

IMSI + KI : Identification de l'abonné x

MSISDN : Numéro de téléphone de x (Mobile Station ISDN

Number) Le HLR vérifie que le couple IMSI + KI = MSISDN

Le AUC vérifie que le couple IMSI + KI est valide

Les informations dynamiques relatives à l'état et à la localisation d'un abonné sont actualisées en permanence.

Ces informations sont particulièrement utiles lorsque le réseau achemine un appel vers l'abonné.

Ch

apit

re3 :

Infr

as

tru

ctu

re d

'un

ré

se

au

GS

M,

GP

RS


90

Fonction du MSC:

Le MSC assure une interconnexion entre le réseau mobile et le réseau fixe public. Le MSC gère l'établissement des communications entre un mobile et un autre MSC.

Fonctions du VLR

L'enregistreur de localisation des visiteurs est une base de données associée à un commutateur MSC.

Le VLR a pour mission d'enregistrer des informations dynamiques relatives aux abonnes de passage dans le réseau, ainsi l'opérateur peut savoir à tout instant dans quelle cellule se trouve chacun de ses abonnés. C

hap

itre

3 :

Infr

as

tru

ctu

re d

'un

ré

se

au

GS

M,

GP

RS


91

Fonctions de l'EIR (Equipement Identity register) L'EIR est une base de données annexe contenant les identités des terminaux.

Un terminal est identifie par un numéro de série dénommé IMEI (IMEI

= numéro d'homologation (série). Numéro d'identifiant. Numéro du terminal).

La base EIR est consulté lors des demandes de services d'un abonné pour vérifier si le

terminal utilise est autorisé à fonctionner sur le réseau. C

hap

itre

3 :

Infr

as

tru

ctu

re d

'un

ré

se

au

GS

M,

GP

RS


92

Infrastructure d'un réseau GPRS

Ch

apit

re3 :

Infr

as

tru

ctu

re d

'un

ré

se

au

GP

RS


93

Présentation de l'infrastructure d'un réseau GPRS

Un réseau GPRS est en premier lieu un réseau IP. Le réseau est donc constitué

de routeurs IP. L'introduction de la mobilité nécessite par ailleurs la précision de

deux nouvelles entités :

· Le noeud de service — le SGSN.

· Le noeud de passerelle — le GGSN.

Une troisième entité— le BG joue un rôle supplémentaire de sécurité. C

hap

itre

3 :

Infr

as

tru

ctu

re d

'un

ré

se

au

GP

RS


94

Ch

apit

re3 :

Infr

as

tru

ctu

re d

'un

ré

se

au

GP

RS


95

La mise en place d'un réseau GPRS va permettre à un opérateur de proposer de nouveaux services de type "Data" ses clients. Le GPRS est en mode paquets.

Ch

apit

re3 :

Infr

as

tru

ctu

re d

'un

ré

se

au

GP

RS


96

Les équipements d'un réseau GPRS

Le noeud de service SGSN (Serving GPRS Support Node) est relie au BSS du réseau GSM. Le SGSN est en connexion avec l'ensemble des éléments

qui assurent et gèrent les transmissions radio : BTS, BSC, HLR ...

Le SGSN joue un rôle de routeur, il gère les terminaux GPRS présents dans une zone donnée. Le SGSN est le « contrôleur » des terminaux GPRS présents dans sa zone de surveillance.

Ch

apit

re3 :

Infr

as

tru

ctu

re d

'un

ré

se

au

GP

RS


97

Le noeud de passerelle GGSN (Gateway GPRS Support

Node) est relié à un ou plusieurs réseaux de données (Internet, autre réseau GPRS...).

Le GGSN est un routeur qui permet de gérer les transmissions de paquets de données :

Paquets entrants d'un réseau externe, achemines vers le SGSN du destinataire.

Paquets sortants vers un réseau externe, émanant d'un destinataire interne au réseau.

Ch

apit

re3 :

Infr

as

tru

ctu

re d

'un

ré

se

au

GP

RS


98

Le module BG pour la sécurité

Les recommandations introduisent le concept de BG (Border Gateway) qui permettent de connecter les réseaux GPRS via un réseau fédérateur et qui assurent les fonctions de sécurité pour la connexion entre ces réseaux.

Ch

apit

re3 :

Infr

as

tru

ctu

re d

'un

ré

se

au

GP

RS


99

Le mobile GPRS L'usage attendu par le réseau GPRS est la possibilité de consulter de manière interactive des serveurs. Cela nécessite donc un débit plus important sur la voie descendante que sur la voie montante.

On parle de mobile multi slot : le terminal doit être en mesure de recevoir ou de transmettre des informations sur plusieurs intervalles de temps.

La carte SIM La carte SIM utilisée pour l'accès au réseau GPRS est une carte SIM similaire à celle requise pour accéder au réseau GSM classique.

Ch

apit

re3 :

Infr

as

tru

ctu

re d

'un

ré

se

au

GP

RS


100

Infrastructure d'un réseau UMTS


Ch

apit

re3 :

Infr

astr

uctu

re d

'un

réseau

GS

M,

GP

RS

, U

MT

S


103







Présentation de l'infrastructure d'un réseau

Le réseau UMTS (Universal Mobile Telecommunications System) vient se combiner aux réseaux déjà existants.

Les réseaux existant GSM et GPRS apportent des fonctionnalistes respectives de Voix et de

Données ; le réseau UMTS apporte ensuite les fonctionnalités Multimédia.

Ch

apit

re3 :

Infr

astr

uctu

re d

'un

réseau

GS

M,

GP

RS

, U

MT

S


104


Ch

apit

re3 :

Infr

astr

uctu

re d

'un

réseau

GS

M,

GP

RS

, U

MT

S


105

La mise en place d'un réseau UMTS va permettre à un opérateur de compléter son offre existante par l'apport de nouveaux services en mode paquet complétant ainsi les réseaux GSM et GPRS.


Ch

apit

re3 :

Infr

astr

uctu

re d

'un

réseau

GS

M,

GP

RS

, U

MT

S


106


Ch

apit

re3 :

Infr

astr

uctu

re d

'un

réseau

GS

M,

GP

RS

, U

MT

S


107

Les équipements d'un réseau

Le Node B : est une antenne.

Reparties géographiquement sur l'ensemble du

territoire, les Nodes B sont au réseau UMTS ce que les BTS sont au réseau GSM. Ils gèrent la couche physique de l'interface radio.

Le RNC (Radio Network Controller)

Le RNC est un contrôleur de Node B. Le RNC est encore ici l'équivalent du BCS dans le réseau GSM.

Le RNC contrôle et gère les ressources radio en utilisant le protocole RRC (Radio Ressource Control) pour définir procédures et communication entre mobiles

(par l'intermédiaire des Node B) et le réseau.

Ch

apit

re3 :

Infr

astr

uctu

re d

'un

réseau

GS

M,

GP

RS

, U

MT

S


108


Le RNC s'interface avec le réseau pour les transmissions en mode paquet et en mode circuit. Le RNC est directement relié à un Node B, il gère

· Le contrôle de charge et de congestion des différents Node B.

· Le contrôle d'admission et d'allocation des codes pour les nouveaux liens radio (entrée d'un mobile dans la zone de cellules gérées ...).

Ch

apit

re3 :

Infr

astr

uctu

re d

'un

réseau

GS

M,

GP

RS

, U

MT

S


109


La carte USIM

La carte USIM assure la sécurité du terminal et la confidentialité des communications.

La carte USIM est l'équivalent en 3G de la carte SIM en 2G.

les fabricants de cartes travaillent aujourd'hui sur une carte bi mode GSM / UMTS permettant un accès aux deux réseaux par activation / désactivation des modes 2G ou 3G.

Ch

apit

re3 :

Infr

astr

uctu

re d

'un

réseau

GS

M,

GP

RS

, U

MT

S


110

Les différents identifiants de l’UMTS

IMSI : permet d’identifier l’utilisateur dans le réseau

MSISDN : numéro de téléphone de l’utilisateur s’inscrivant dans le plan

TMSI : identifiant temporaire du mode circuit

PTMSI : identifiant temporaire du mode paquet

IMEI : identifiant du terminal (peux être obtenu avec #06#)

Ch

apit

re3 :

Infr

astr

uctu

re d

'un

réseau

GS

M,

GP

RS

, U

MT

S


111

Les différents identifiants de l’UMTS vue générale

Ch

apit

re3 :

Infr

astr

uctu

re d

'un

réseau

GS

M,

GP

RS

, U

MT

S


112

Architecture générale du UMTS

Ch

apit

re3 :

Infr

astr

uctu

re d

'un

réseau

GS

M,

GP

RS

, U

MT

S


113

Description des entités d’un réseau 2G

MSC :

Traitement d ’appels

Gestion des ressources radio

- Mise a jour des bases VLR/HLR

- Recherche radio d ’un abonné

- Gestion du « Handover »

Fonction passerelle « Gateway »pour les appels arrivés

HLR : Base de données de référence (pour une région)

Stocke : Identité , Num annuaire,

services souscrit +localisation grossière (VLR)

VLR : Base de donnée locale(associée à 1 ou plusieurs MSC)

AuC : Base de donnée de sécurité, génération des clefs et authentification

GMSC : Gateway MSC gestion de l’interface entre le réseau RTC et le réseau GSM

SGSN : Routeur relié à un ou plusieurs BSS

GGSN : Noeud passerelle GPRS sert de routeur entre le GPRS et les autres réseaux

Ch

apit

re3 :

Infr

astr

uctu

re d

'un

réseau

GS

M,

GP

RS

, U

MT

S


114

Architecture simplifiée réseau 2G

Ch

apit

re3 :

Infr

astr

uctu

re d

'un

réseau

GS

M,

GP

RS

, U

MT

S


115

Architecture simplifiée réseau 2G +

Ch

apit

re3 :

Infr

astr

uctu

re d

'un

réseau

GS

M,

GP

RS

, U

MT

S


116

Architecture réseau 3G

Ch

apit

re3 :

Infr

astr

uctu

re d

'un

réseau

GS

M,

GP

RS

, U

MT

S


117

MAINTENANCE DES INFRASTRUCTURES … DES RESEAUX DE COMMUNICATION Les réseaux de communications...

Documents

Transcript of MAINTENANCE DES INFRASTRUCTURES … DES RESEAUX DE COMMUNICATION Les réseaux de communications...